DDos防御需要根据不同的攻击类型和不同的攻击方法指定对应的策略才干达到最有效的防御。常见的DDos包含:Flood、CC和反射等。
1、flood攻击
Flood类的攻击最常见并简略有效,黑客通过把持大批的肉鸡同时向服务器发起恳求,进而达到阻塞服务端处理入口或网卡队列。
针对耗费性Flood攻击,如:SYN
Flood、ACK
Flood、UDP
Flood,最有效并可靠的防御方法是做源认证和资源隔离,即:在客户端和服务端建立回话时对恳求的源进行必要的认证,并将认证成果形成可靠的白名单或黑名单,进而保证服务端处理业务的有效性。
若黑客肉鸡足够多并捏造数据包的真实性较高时,只能通过提升服务端的处理速度和流量吞吐量来达到较好的反抗效果。
2、CC攻击
CC攻击是一种针对Http业务的攻击手段,该攻击模式不需要太大的攻击流量,它是对服务端业务 处理瓶颈的准确打击,攻击目标包含:大批数据运算、数据库访问、大内存文件等,攻击特点包含:
a、只结构恳求,不关心恳求成果,即发送完恳求后立即关闭会话;
b、持续恳求同一操作;
c、故意恳求小字节的数据包(如下载文件);
d、qps高;
针对CC的攻击的防御需要联合具体业务的特点,针对具体的业务建立一系列防御模型,如:连接特点模型,客户端行动模型,业务访问特点模型等,吸收恳求端统计客户信息并根据模型特点进行一系列处理,包含:列入黑名单,限制访问速率,随机丢弃恳求等。
3、反射类攻击
反射攻击是一种模仿攻击客户端恳求指定服务器,并利用恳求和应答之间的流量差值进行流量放大,进而达到攻击效果的攻击方法,常见的攻击类型包含:NTP,DNS等。
针对反射攻击比较有效的防御手段有:访问恳求限速、反射流限速、恳求行动分析等,这些防御手段没法完整过滤攻击流,只能达到克制攻击的效果。
桂哥网络专注供给美国高防服务器租用服务,可认为网站安全供给保障。
